您的位置:360文档中心› HCMSR系列路由器IPsec典型配置举例V图文稿

HCMSR系列路由器IPsec典型配置举例V图文稿

合集下载

H3C MSR系列路由器 IPSec配置

H3C MSR系列路由器 IPSec配置
..................................................................................................................................... 1-1 1.1 IPSec简介 ......................................................................................................................................... 1-1 1.1.1 IPSec的实现 ........................................................................................................................... 1-1 1.1.2 IPSec基本概念........................................................................................................................ 1-2 1.1.3 加密卡..................................................................................................................................... 1-4 1.1.4 协议规范 ................................................................................................................................. 1-4 1.2 IPSec配置任务简介 ........................................................................................................................... 1-4 1.3 配置访问控制列表 ............................................................................................................................. 1-5 1.4 配置安全提议..................................................................................................................................... 1-5 1.5 配置安全策略..................................................................................................................................... 1-6 1.5.1 手工配置安全策略................................................................................................................... 1-6 1.5.2 配置IKE协商安全策略............................................................................................................. 1-7 1.6 在接口上应用安全策略组 ................................................................................................................ 1-10 1.7 在加密卡接口上绑定安全策略组或者安全策略................................................................................ 1-11 1.8 使能加密引擎功能 ........................................................................................................................... 1-11 1.9 使能主体软件备份功能 .................................................................................................................... 1-12 1.10 配置会话空闲超时时间 .................................................................................................................. 1-12 1.11 使能解封装后IPSec报文的ACL检查功能 ...................................................................................... 1-12 1.12 配置IPSec抗重放功能 ................................................................................................................... 1-13 1.13 配置共享源接口安全策略组........................................................................................................... 1-14 1.14 配置QoS预分类功能...................................................................................................................... 1-14 1.15 IPSec显示和维护........................................................................................................................... 1-15 1.16 IPSec典型配置举例 ....................................................................................................................... 1-15 1.16.1 采用手工方式建立IPSec安全隧道....................................................................................... 1-15 1.16.2 采用IKE方式建立IPSec安全隧道 ........................................................................................ 1-18 1.16.3 使用加密卡进行加/解密和认证............................................................................................ 1-20 1.16.4 配置IPSec接口备份 ............................................................................................................ 1-23

HCMSR系列路由器IPsec典型配置举例V

HCMSR系列路由器IPsec典型配置举例V

7 相关资料1 简介本文档介绍IPsec的典型配置举例。

2 配置前提本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解IPsec特性。

3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例3.1 组网需求如图1所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求:•通过L2TP隧道访问Corporate network。

•用IPsec对L2TP隧道进行数据加密。

•采用RSA证书认证方式建立IPsec隧道。

图1 基于证书认证的L2TP over IPsec配置组网图3.2 配置思路由于使用证书认证方式建立IPsec隧道,所以需要在ike profile中配置local-identity 为dn,指定从本端证书中的主题字段取得本端身份。

3.3 使用版本本举例是在R0106版本上进行配置和验证的。

3.4 配置步骤3.4.1 Device的配置(1) 配置各接口IP地址# 配置接口GigabitEthernet2/0/1的IP地址。

<Device> system-view[Device] interface gigabitethernet 2/0/1[Device-GigabitEthernet2/0/1] ip address 192.168.100.50 24[Device-GigabitEthernet2/0/1] quit# 配置接口GigabitEthernet2/0/2的IP地址。

[Device] interface gigabitethernet 2/0/2[Device-GigabitEthernet2/0/2] ip address 102.168.1.11 24[Device-GigabitEthernet2/0/2] quit# 配置接口GigabitEthernet2/0/3的IP地址。

华为路由器和防火墙配置IPSec

华为路由器和防火墙配置IPSec
IPSec 对报文的保护通过 AH(Authentication Header)和 ESP(Encapsulating Security Payload)两个安全协议实现。各协议的功能简单介绍如下:
AH 协议主要提供的功能有数据源验证、数据完整性校验和防报文重放功能,但不 能对需要保护的报文进行加密。
8.5 配置举例
介绍 IPSec 的组网举例。
文档版本 02 (2007-05-11)
华为技术有限公司
8-1
8 配置 IPSec
Quidway Eudemon 100/100E/200/200S 配置指南 安全防范分册
8.1 简介
IPSec(IP Security)协议族是 IETF 制定的一系列协议,它为 IP 报文提供了高质量的、 可互操作的、基于密码学的安全保护机制。特定的通信双方在 IP 层通过加密与数据源 验证等方式,保证报文在网络中传输时的私有性、完整性、真实性和防重放。
8.1 简介..............................................................................................................................................................8-2 8.2 配置采用 Manual 方式协商的 IPSec 隧道.................................................................................................8-2
8.2.1 建立配置任务.....................................................................................................................................8-2 8.2.2 创建需要保护的数据流.....................................................................................................................8-4 8.2.3 配置 IPSec 安全提议 .........................................................................................................................8-4 8.2.4 配置 IPSec 安全策略 .........................................................................................................................8-5 8.2.5 引用 IPSec 安全策略 .........................................................................................................................8-7 8.2.6 检查配置结果.....................................................................................................................................8-7 8.3 配置采用 IKE 方式协商的 IPSec 隧道 ......................................................................................................8-8 8.3.1 建立配置任务.....................................................................................................................................8-8 8.3.2 创建需要保护的数据流.....................................................................................................................8-9 8.3.3 配置 IPSec 安全提议 .........................................................................................................................8-9 8.3.4 配置 IKE 安全提议 ..........................................................................................................................8-10 8.3.5 配置 IKE Peer...................................................................................................................................8-10 8.3.6 配置 IPSec 安全策略模板 ...............................................................................................................8-11 8.3.7 配置 IPSec 安全策略 .......................................................................................................................8-11 8.3.8 检查配置结果...................................................................................................................................8-12 8.4 维护............................................................................................................................................................8-12 8.4.1 维护采用 Manual 方式协商的 IPSec 隧道 .....................................................................................8-12 8.4.2 维护采用 IKE 方式协商的 IPSec 隧道...........................................................................................8-13 8.4.3 维护低速加密卡...............................................................................................................................8-14 8.4.4 删除安全联盟...................................................................................................................................8-14 8.4.5 清除 IPSec 统计报文 .......................................................................................................................8-15 8.5 配置举例....................................................................................................................................................8-15 8.5.1 配置采用 manual 方式建立 SA 示例 ..............................................................................................8-15 8.5.2 配置采用 IKE 方式建立 SA 示例 ...................................................................................................8-22

H3C MSR 系列路由器 配置指导02-接口管理配置指导

H3C MSR 系列路由器 配置指导02-接口管理配置指导

MSR 5040[5060] 路 由 器 ( 高 性 能 主 控 MPU-G2)标准版版本说明书
资料获取方式
您可以通过H3C网站()获取最新的产品资料: H3C 网站与产品资料相关的主要栏目介绍如下: • [服务支持/文档中心]:可以获取硬件安装类、软件升级类、配置类或维护类等产品资料。
读者对象
本手册主要适用于如下工程师: • 网络规划人员 • 现场技术支持与维护人员 • 负责网络配置和维护的网络管理员
本书约定
1. 命令行格式约定
格式
意义
粗体
命令行关键字(命令中保持不变、必须照输的部分)采用加粗字体表示。
斜体
命令行参数(命令中必须由实际值进行替代的部分)采用斜体表示。
[]
表示用“[ ]”括起来的部分在命令配置时是可选的。
3. 图标约定 本书使用的图标及其含义如下:
该图标及其相关描述文字代表一般网络设备,如路由器、交换机、防火墙等。
该图标及其相关描述文字代表一般意义下的路由器,以及其他运行了路由协议的设备。
该图标及其相关描述文字代表二、三层以太网交换机,以及运行了二层协议的设备。
4. 端口编号示例约定 本手册中出现的端口编号仅作示例,并不代表设备上实际具有此编号的端口,实际使用中请以设备 上存在的端口编号为准。
#
由“#”号开始的行表示为注释行。
2. 各类标志 本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方,这些标志的意义如下:
该标志后的注释需给予格外关注,不当的操作可能会对人身造成伤害。
提醒操作中应注意的事项,不当的操作可能会导致数据丢失或者设备损坏。 为确保设备配置成功或者正常工作而需要特别关注的操作或信息。 对操作内容的描述进行必要的补充和说明。 配置、操作、或使用设备的技巧、小窍门。

H3CMSR系列路由器IPsec典型配置举例(V7)

H3CMSR系列路由器IPsec典型配置举例(V7)

7 相关资料1 简介本文档介绍IPsec的典型配置举例。

2 配置前提本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解IPsec特性。

3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例3.1 组网需求如图1所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求:•通过L2TP隧道访问Corporate network。

•用IPsec对L2TP隧道进行数据加密。

•采用RSA证书认证方式建立IPsec隧道。

图1 基于证书认证的L2TP over IPsec配置组网图3.2 配置思路由于使用证书认证方式建立IPsec隧道,所以需要在ike profile中配置local-identity 为dn,指定从本端证书中的主题字段取得本端身份。

3.3 使用版本本举例是在R0106版本上进行配置和验证的。

3.4 配置步骤3.4.1 Device的配置(1) 配置各接口IP地址# 配置接口GigabitEthernet2/0/1的IP地址。

<Device> system-view[Device] interface gigabitethernet 2/0/1[Device-GigabitEthernet2/0/1] ip address 192.168.100.50 24[Device-GigabitEthernet2/0/1] quit# 配置接口GigabitEthernet2/0/2的IP地址。

[Device] interface gigabitethernet 2/0/2[Device-GigabitEthernet2/0/2] ip address 102.168.1.11 24[Device-GigabitEthernet2/0/2] quit# 配置接口GigabitEthernet2/0/3的IP地址。

H3C_防火墙典型配置案例集(V7)-6W100-H3C_防火墙IPsec典型配置案例(V7) - 副本

H3C_防火墙典型配置案例集(V7)-6W100-H3C_防火墙IPsec典型配置案例(V7) - 副本
# 配置 PKI 域 domain1。
[Sysname] pki domain domain1 [Sysname-pki-domain-domain1] undo crl check enable [Sysname-pki-domain-domain1] certificate request from ra [Sysname-pki-domain-domain1] certificate request entity entity1 [Sysname-pki-domain-domain1] quit
M9000
IP network
220.0.10.200/24
GE0/1
GE0/2
220.0.10.100/24
192.200.0.1/24
Host B
F5000-S
192.200.0.2/24
3.2 配置思路
(1) 配置 M9000,主要思路如下: • 在 Ten-GigabitEthernet5/0/12 上启用 IPsec。 • 配置 IKE 安全提议时,启用证书认证方式。 • 配置去往 192.200.0.0/24 网段的路由。 (2) 配置 F5000-S,主要思路如下: • 在 GigabitEthernet0/1 上启用 IPsec。 • 配置 IKE 安全提议时,启用证书认证方式。 • 配置去往 192.100.0.0/24 网段的路由。
# 导入 CA 证书 m9000.cer。
[Sysname] pki import domain domain1 der ca filename m9000.cer The trusted CA's finger print is:
MD5 fingerprint:7B6F 9F0B F2E8 8336 935A FB5B 7D03 64E7 SHA1 fingerprint:2040 0532 2D90 817A 3E8F 5B47 DEBD 0A0E 5250 EB7D Is the finger print correct?(Y/N):y

H3C MSR 系列路由器 配置指导13-WLAN配置指导

H3C MSR 系列路由器 配置指导13-WLAN配置指导
H3C MSR 系列路由器 WLAN 配置指导(V5)
杭州华三通信技术有限公司 资料版本:20121214-C-1.12 产品版本:MSR-CMW520-R2311
Copyright © 2006-2012 杭州华三通信技术有限公司及其许可者版权所有,保留一切权利。
#
由“#”号开始的行表示为注释行。
2. 各类标志 本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方,这些标志的意义如下:
该标志后的注释需给予格外关注,不当的操作可能会对人身造成伤害。
提醒操作中应注意的事项,不当的操作可能会导致数据丢失或者设备损坏。
为确保设备配置成功或者正常工作而需要特别关注的操作或信息。 对操作内容的描述进行必要的补充和说明。 配置、操作、或使用设备的技巧、小窍门。
{ x | y | ... }
表示从多个选项中仅选取一个。
[ x | y | ... ]
表示从多个选项中选取一个或者不选。
{ x | y | ... } *
表示从多个选项中至少选取一个。
[ x | y | ... ] *
表示从多个选项中选取一个、多个或者不选。
&<1-n>
表示符号&前面的参数可以重复输入1~n次。
3. 图标约定 本书使用的图标及其含义如下:
该图标及其相关描述文字代表一般网络设备,如路由器、交换机、防火墙等。 该图标及其相关描述文字代表一般意义下的路由器,以及其他运行了路由协议的设备。
该图标及其相关描述文字代表二、三层以太网交换机,以及运行了二层协议的设备。
4. 端口编号示例约定 本手册中出现的端口编号仅作示例,并不代表设备上实际具有此编号的端口,实际使用中请以设备 上存在的端口编号为准。

H3C MSR系列路由器典型配置举例(V7)-6W100-整本手册

H3C MSR系列路由器典型配置举例(V7)-6W100-整本手册

1 典型配置举例导读H3C MSR系列路由器典型配置举例(V7)共包括63个文档,介绍了基于Comware V7软件版本的MSR系列路由器软件特性的典型配置举例,包含组网需求、配置步骤、验证配置和配置文件等内容。

1.1 适用款型本手册所描述的内容适用于MSR系列路由器中的如下款型:款型MSR 5600 MSR 56-60 MSR 56-80MSR 3600 MSR 36-10 MSR 36-20 MSR 36-40 MSR 36-60 MSR3600-28 MSR3600-51MSR 2600 MSR 26-301.2 内容简介典型配置举例中特性的支持情况与MSR系列路由器的款型有关,关于特性支持情况的详细介绍,请参见《H3C MSR 系列路由器配置指导(V7)》和《H3C MSR 系列路由器命令参考(V7)》。

手册包含的文档列表如下:编号名称1H3C MSR系列路由器作为TFTP client升级版本的典型配置举例(V7)2H3C MSR系列路由器作为FTP client升级版本的典型配置举例(V7)3H3C MSR系列路由器作为FTP server升级版本的典型配置举例(V7)4H3C MSR系列路由器采用Boot ROM TFTP方式升级方法的典型配置举例(V7)5H3C MSR系列路由器内网用户通过NAT地址访问地址重叠的外网典型配置举例(V7)6H3C MSR系列路由器内网用户通过NAT地址访问内网服务器典型配置举例(V7)7H3C MSR系列路由器内部服务器负载分担典型配置举例(V7)8H3C MSR系列路由器NAT DNS mapping典型配置举例(V7)9H3C MSR系列路由器定时执行任务典型配置举例(V7)10H3C MSR系列路由器RBAC典型配置举例(V7)11H3C MSR系列路由器以太网链路聚合典型配置举例(V7)12H3C MSR系列路由器端口隔离典型配置举例(V7)13H3C MSR系列路由器VLAN典型配置举例(V7)14H3C MSR系列路由器QinQ典型配置举例(V7)15H3C MSR系列路由器PPP典型配置案例(V7)16H3C MSR系列路由器建立LAC-Auto-Initiated模式L2TP隧道典型配置举例(V7) 17H3C MSR系列路由器建立Client-Initiated模式L2TP隧道的典型配置举例(V7) 18H3C MSR系列路由器L2TP多实例典型配置举例(V7)19H3C MSR系列路由器L2TP多域接入典型配置举例(V7)20H3C MSR系列路由器L2TP over IPsec典型配置举例(V7)21H3C MSR系列路由器AAA典型配置举例(V7)22H3C MSR系列路由器802.1X本地认证典型配置举例(V7)23H3C MSR系列路由器802.1X结合Radius服务器典型配置举例(V7)24H3C MSR系列路由器IPsec典型配置举例(V7)25H3C MSR系列路由器Portal典型配置举例(V7)26H3C MSR系列路由器SSH典型配置举例(V7)27H3C MSR系列路由器OSPF典型配置举例(V7)28H3C MSR系列路由器IS-IS典型配置举例(V7)29H3C MSR系列路由器OSPFv3典型配置举例(V7)30H3C MSR系列路由器IPv6 IS-IS典型配置举例(V7)31H3C MSR系列路由器BGP基础典型配置举例(V7)32H3C MSR系列路由器路由策略典型配置举例(V7)33H3C MSR系列路由器策略路由典型配置举例(V7)34H3C MSR系列路由器Tcl脚本典型配置举例(V7)35H3C MSR系列路由器GRE和OSPF结合使用典型配置举例(V7)36H3C MSR系列路由器IPv6 over IPv4 GRE隧道典型配置举例(V7)37H3C MSR系列路由器ISATAP和6to4相结合使用的典型配置举例(V7)38H3C MSR系列路由器IPv6手动隧道+OSPFv3功能的典型配置举例(V7)39H3C MSR系列路由器授权ARP功能典型配置举例(V7)40H3C MSR系列路由器ARP防攻击特性典型配置举例(V7)41H3C MSR系列路由器ACL典型配置举例(V7)42H3C MSR系列路由器流量监管典型配置举例(V7)43H3C MSR系列路由器流量整形典型配置举例(V7)44H3C MSR系列路由器基于控制平面应用QoS策略典型配置举例(V7)45H3C MSR系列路由器IGMP Snooping典型配置举例(V7)46H3C MSR系列路由器IGMP典型配置举例(V7)47H3C MSR系列路由器组播VPN配置举例(V7)48H3C MSR系列路由器MPLS基础典型配置举例(V7)49H3C MSR系列路由器MPLS L3VPN典型配置举例(V7)50H3C MSR系列路由器HoVPN典型配置举例(V7)51H3C MSR系列路由器MPLS TE典型配置举例(V7)52H3C MSR系列路由器MPLS OAM典型配置举例(V7)53H3C MSR系列路由器作为重定向服务器反向Telnet的典型配置举例(V7)54H3C MSR系列路由器BFD典型配置举例(V7)55H3C MSR系列路由器VRRP典型配置举例(V7)56H3C MSR系列路由器SNMP典型配置举例(V7)57H3C MSR系列路由器Sampler结合IPv4 NetStream使用典型配置举例(V7)58H3C MSR系列路由器NQA典型配置举例(V7)59H3C MSR系列路由器EAA监控策略典型配置举例(V7)60H3C MSR系列路由器NTP典型配置举例(V7)61H3C MSR系列路由器RMON统计功能典型配置举例(V7)62H3C MSR系列路由器终端为流接入方式且应用为流连接方式典型配置举例(V7) 63H3C MSR系列路由器终端为TCP接入且应用为TCP连接方式典型配置举例(V7)H3C MSR系列路由器作为TFTP client升级版本的典型配置举例(V7)Copyright © 2014 杭州华三通信技术有限公司版权所有,保留一切权利。

MSR系列路由器pppoe拨号接口配置IPSec功能案例

MSR系列路由器pppoe拨号接口配置IPSec功能案例

MSR系列路由器拨号接口上配置IPSec功能的配置关键词:MSR;PPP;PAP;PPPoE;Client;Server;Dialer;IPSec;IKE
一、组网需求:
PPPoE Client和PPPoE Server通过PPPoE建立拨号关系,双方在拨号接口和虚模板上配置IPSec策略,使两边的私有数据得以加密传送
设备清单:MSR系列路由器2台
二、组网图:
三、配置步骤:
设备和版本:MSR系列、Version 5.20, Release 1509
四、配置关键点:
1) PPPoE Client和PPPoE Server可以参见《MSR系列路由器PPPoE Client功能的配置》,PAP认证可以参见PPP认证典型配置;
2) 当PPPoE Server没有为PPP认证用户指定认证域时,地址池配置在全局视图下;
3) IKE发起方PPPoE Client必须指定接收方PPPoE Server的地址;
4) IKE接收方PPPoE Server可以指定对方所属的地址范围;
5) IPSec的配置除了IKE Peer配置部分可以参考《MSR系列路由器IPSec + IKE 功能的配置》;
6) 发起方和接收方IPSec策略分别绑定在Dialer0和Virtual-Template0下;
7) 双方通过配置静态路由将内网流量引入到Dialer0和Virtual-Template0。

华为路由器 配置IPSec

华为路由器 配置IPSec

目录
目录
7 配置 IPSec ...................................................................................................................................7-1
7.1 简介..............................................................................................................................................................7-2 7.1.1 IPSec 概述 ...........................................................................................................................................7-2 7.1.2 基于证书认证机制的 IPSec ..............................................................................................................7-2
文档版本 02 (2008-12-15)
华为所有和机密iLeabharlann 版权所有 © 华为技术有限公司
目录
Secoway USG50 配置指南 安全防范分册
7.5.3 配置证书验证...................................................................................................................................7-21 7.5.4 检查配置结果...................................................................................................................................7-21 7.6 维护............................................................................................................................................................7-21 7.6.1 查看 IPSec 处理报文的统计信息 ...................................................................................................7-21 7.6.2 调试 IPSec ........................................................................................................................................7-21 7.6.3 调试 IKE...........................................................................................................................................7-22 7.6.4 删除 IKE SA.....................................................................................................................................7-22 7.6.5 删除 SA ............................................................................................................................................7-22 7.6.6 清除 IPSec 统计报文 .......................................................................................................................7-23 7.6.7 维护低速加密卡...............................................................................................................................7-23 7.6.8 维护 CA............................................................................................................................................7-24 7.7 配置举例....................................................................................................................................................7-25 7.7.1 配置采用 Manual 方式建立 SA 示例 .............................................................................................7-25 7.7.2 配置采用 IKE 方式建立 SA 示例(预共享密钥) .......................................................................7-32 7.7.3 配置采用 IKE 方式建立 SA 示例(RSA 签名) ..........................................................................7-39

H3CIPV6之ipsec+IKE野蛮模式典型组网配置案例

H3CIPV6之ipsec+IKE野蛮模式典型组网配置案例

H3CIPV6之ipsec+IKE野蛮模式典型组网配置案例组网说明:本案例采用H3C HCL模拟器来模拟IPV6 IPSEC IKE+野蛮模式典型组网配置。

为了确保数据的传输安全,在R1与R2之间建立IPSEC VPN隧道采用野蛮模式。

最后R1与R2之间采用OSPFV3路由协议互联。

配置思路:1、按照网络拓扑图正确配置IP地址2、R1与R2之间运行OSPFV3路由协议3、R1与R2采用IPSEC IKE+野蛮模式建立VPN隧道。

配置过程:第一阶段调试(基础网络配置):SW1:sysSystem View: return to User View with Ctrl+Z.[H3C]sysname SW1[SW1]int loopback 0[SW1-LoopBack0]ip address 3.3.3.3 32[SW1-LoopBack0]quit[SW1]ospfv3 1[SW1-ospfv3-1]import-route direct[SW1-ospfv3-1]router-id 3.3.3.3[SW1-ospfv3-1]quit[SW1]int gi 1/0/1[SW1-GigabitEthernet1/0/1]port link-mode route[SW1-GigabitEthernet1/0/1]des[SW1-GigabitEthernet1/0/1]ipv6 address 3::2 64[SW1-GigabitEthernet1/0/1]ospfv3 1 area 0[SW1-GigabitEthernet1/0/1]quitR1:sysSystem View: return to User View with Ctrl+Z. [H3C]sysname R1[R1]int loopback 0[R1-LoopBack0]ip address 1.1.1.1 32[R1-LoopBack0]quit[R1]ospfv3 1[R1-ospfv3-1]router-id 1.1.1.1[R1-ospfv3-1]import-route direct[R1-ospfv3-1]quit[R1]int gi 0/0[R1-GigabitEthernet0/0]ipv6 address 1::1 64 [R1-GigabitEthernet0/0]ospfv3 1 area 0[R1-GigabitEthernet0/0]quit[R1]int s 1/0[R1-Serial1/0]des[R1-Serial1/0]ipv6 address 2::1 64[R1-Serial1/0]ospfv3 1 area 0[R1-Serial1/0]quitR2:sysSystem View: return to User View with Ctrl+Z. [H3C]sysnameR2[R2]int loopback 0[R2-LoopBack0]ip address 2.2.2.2 32[R2-LoopBack0]quit[R2]ospfv3 1[R2-ospfv3-1]import-route direct[R2-ospfv3-1]router-id 2.2.2.2[R2-ospfv3-1]quit[R2]int s 1/0[R2-Serial1/0]des[R2-Serial1/0]ipv6 address 2::2 64[R2-Serial1/0]ospfv3 1 area 0[R2-Serial1/0]quit[R2]int gi 0/0[R2-GigabitEthernet0/0]des [R2-GigabitEthernet0/0]ipv6 address 3::1 64 [R2-GigabitEthernet0/0]ospfv3 1 area 0 [R2-GigabitEthernet0/0]quit第一阶段测试:物理机填写IP地址:物理机能PING通SW1:第二阶段调试(IPSEC+IKE野蛮模式关键配置点):[R1]acl ipv6 advanced 3000[R1-acl-ipv6-adv-3000]rule 0 permit ipv6 source 1::/64 destination 3::/64 [R1-acl-ipv6-adv-3000]quit[R1]ike identity fqdn r1[R1]ike proposal 1[R1-ike-proposal-1]quit[R1]ike keychain james[R1-ike-keychain-james]pre-shared-key address ipv6 2::2 64 key simple james [R1-ike-keychain-james]quit[R1]ike profile james[R1-ike-profile-james]keychain james[R1-ike-profile-james]proposal 1[R1-ike-profile-james]match remote identity address ipv6 2::2[R1-ike-profile-james]exchange-mode aggressive[R1-ike-profile-james]quit[R1]ipsec transform-set james[R1-ipsec-transform-set-james]protocol esp[R1-ipsec-transform-set-james]encapsulation-mode tunnel [R1-ipsec-transform-set-james]esp authentication-algorithm md5[R1-ipsec-transform-set-james]esp encryption-algorithm des-cbc[R1-ipsec-transform-set-james]quit[R1]ipsec ipv6-policy james 1 isakmp[R1-ipsec-ipv6-policy-isakmp-james-1]security acl ipv6 3000 [R1-ipsec-ipv6-policy-isakmp-james-1]transform-set james [R1-ipsec-ipv6-policy-isakmp-james-1]ike-profile james[R1-ipsec-ipv6-policy-isakmp-james-1]remote-address ipv6 2::2[R1-ipsec-ipv6-policy-isakmp-james-1]quit[R1]int s 1/0[R1-Serial1/0]ipsec apply ipv6-policy james[R1-Serial1/0]quitR2:[R2]acl ipv6 advanced 3000[R2-acl-ipv6-adv-3000]rule 0 permit ipv6 source 3::/64 destination 1::/64 [R2-acl-ipv6-adv-3000]quit[R2]ike identity fqdn r2[R2]ike proposal 1[R2-ike-proposal-1]quit[R2]ike keychain james[R2-ike-keychain-james]pre-shared-key hostname r1 key simple james[R2-ike-keychain-james]quit[R2]ipsec transform-set james[R2-ipsec-transform-set-james]protocol esp[R2-ipsec-transform-set-james]encapsulation-mode tunnel [R2-ipsec-transform-set-james]esp authentication-algorithm md5[R2-ipsec-transform-set-james]esp encryption-algorithm des-cbc[R2-ipsec-transform-set-james]quit[R2]ike profile james[R2-ike-profile-james]keychain james[R2-ike-profile-james]proposal 1[R2-ike-profile-james]match remote identity fqdn r1[R2-ike-profile-james]exchange-mode aggressive[R2-ike-profile-james]quit[R2]ipsec ipv6-policy-template james 1[R2-ipsec-ipv6-policy-template-james-1]security acl ipv6 3000 [R2-ipsec-ipv6-policy-template-james-1]ike-profile james [R2-ipsec-ipv6-policy-template-james-1]transform-set james [R2-ipsec-ipv6-policy-template-james-1]quit[R2]ipsec ipv6-policy james 1 isakmp template james[R2]int s 1/0[R2-Serial1/0]ipsec apply ipv6-policy james[R2-Serial1/0]quit第二阶段测试:查看R1的IPSEC显示信息:。

华为路由器和防火墙配置IPSec

华为路由器和防火墙配置IPSec
Quidway Eudemon 100/100E/200/200S 配置指南 安全防范分册
目录
目录
8 配置 IPSec ...................................................................................................................................8-1
8.2.1 建立配置任务.....................................................................................................................................8-2 8.2.2 创建需要保护的数据流.....................................................................................................................8-4 8.2.3 配置 IPSec 安全提议 .........................................................................................................................8-4 8.2.4 配置 IPSec 安全策略 .........................................................................................................................8-5 8.2.5 引用 IPSec 安全策略 .........................................................................................................................8-7 8.2.6 检查配置结果.....................................................................................................................................8-7 8.3 配置采用 IKE 方式协商的 IPSec 隧道 ......................................................................................................8-8 8.3.1 建立配置任务.....................................................................................................................................8-8 8.3.2 创建需要保护的数据流.....................................................................................................................8-9 8.3.3 配置 IPSec 安全提议 .........................................................................................................................8-9 8.3.4 配置 IKE 安全提议 ..........................................................................................................................8-10 8.3.5 配置 IKE Peer...................................................................................................................................8-10 8.3.6 配置 IPSec 安全策略模板 ...............................................................................................................8-11 8.3.7 配置 IPSec 安全策略 .......................................................................................................................8-11 8.3.8 检查配置结果...................................................................................................................................8-12 8.4 维护............................................................................................................................................................8-12 8.4.1 维护采用 Manual 方式协商的 IPSec 隧道 .....................................................................................8-12 8.4.2 维护采用 IKE 方式协商的 IPSec 隧道...........................................................................................8-13 8.4.3 维护低速加密卡...............................................................................................................................8-14 8.4.4 删除安全联盟...................................................................................................................................8-14 8.4.5 清除 IPSec 统计报文 .......................................................................................................................8-15 8.5 配置举例....................................................................................................................................................8-15 8.5.1 配置采用 manual 方式建立 SA 示例 ..............................................................................................8-15 8.5.2 配置采用 IKE 方式建立 SA 示例 ...................................................................................................8-22

H3C MSR系列路由器典型配置举例(V7)-6W100-H3C MSR系列路由器BGP基础典型配置举例(V7)

H3C MSR系列路由器典型配置举例(V7)-6W100-H3C MSR系列路由器BGP基础典型配置举例(V7)
所以,必须使用 peer connect-interface 命令将 LoopBack 接口配置为 BGP 连接的源接口。 • EBGP 邻居关系的两台路由器,处于不同的 AS 域,对端的 LoopBack 接口一般路由不可达,
3.1 组网需求 ··············································································································································· 1 3.2 配置思路 ··············································································································································· 1 3.3 使用版本 ··············································································································································· 1 3.4 配置注意事项········································································································································ 2 3.5 配置步骤 ··············································································································································· 2

H3C MSR 系列路由器 配置指导13-WLAN配置指导

H3C MSR 系列路由器 配置指导13-WLAN配置指导
未经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何 形式传播。
H3C、
、H3CS、H3CIE、H3CNE、Aolynk、
、H3Care、
、IRF、NetPilot、
Netflow、SecEngine、SecPath、SecCenter、SecBlade、Comware、ITCMM、HUASAN、华三 均为杭州华三通信技术有限公司的商标。对于本手册中出现的其它公司的商标、产品标识及商品名
i
1 WLAN接口
适用款型
本手册所描述的内容适用于 MSR 系列路由器中的如下款型:
款型
MSR 900
MSR 900 MSR 920 MSR 930
MSR 930-GU
MSR 930
MSR 930-GT
MSR 930-DG
MSR 930-SA
MSR 20-10
MSR 20-10E
MSR 20-1X
MSR 20-11 MSR 20-12
MSR 30 路由器安装指导
硬件描述与安装
MSR 20-2X[40] 路由器安装指导 MSR 20-1X 路由器安装指导
MSR 900 路由器安装指导
MSR 系列路由器接口模块手册
业务配置
MSR 系列路由器 配置指导(V5)
内容介绍
帮助您了解产品的主要规格参数及亮点
帮助您详细了解设备硬件规格和安装方法,指导 您对设备进行安装 帮助您详细了解单板的硬件规格 帮助您掌握设备软件功能的配置方法及配置步骤
称,由各自权利人拥有。
由于产品版本升级或其他原因,本手册内容有可能变更。H3C 保留在没有任何通知或者提示的情况 下对本手册的内容进行修改的权利。本手册仅作为使用指导,H3C 尽全力在本手册中提供准确的信 息,但是 H3C 并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何 明示或暗示的担保。

华为路由器多台设备IPSec_vpn隧道配置案例

华为路由器多台设备IPSec_vpn隧道配置案例

组网Topo:本例中AR3需要同时和AR1及AR2建立IPSec隧道,这时,AR1配置isakmp policy,指定remote-address为AR3;AR2配置isakmp policy,指定remote-address为AR3;AR3配置为template-policy,不需要配置remote-address。

AR3上可以配置ACL也可以不用配置ACL,如果AR3配置了ACL,则必须要指定distination,否则协商会出问题,建议AR3上不要配置IPSec ACL,ACL可以从AR1和AR2上协商过来。

AR1配置:acl number 3000rule 20 permit ip source 188.188.188.188 0 destination 189.189.189.189 0#ipsec proposal 188#ike proposal 1#ike peer 191 v2pre-shared-key huaweiike-proposal 1remote-address 192.168.1.191#ipsec policy 188 1 isakmpsecurity acl 3000ike-peer 191proposal 188#interface Ethernet2/0/0ip address 192.168.1.188 255.255.255.0ipsec policy 188#interface LoopBack0ip address 188.188.188.188 255.255.255.255#AR2配置:acl number 3000rule 20 permit ip source 189.189.189.189 0 destination 188.188.188.188 0#ipsec proposal 189#ike proposal 1#ike peer 191 v2pre-shared-key huaweiike-proposal 1remote-address 192.168.1.191#ipsec policy 189 1 isakmpsecurity acl 3000ike-peer 191proposal 189#interface GigabitEthernet0/0/2ip address 192.168.1.189 255.255.255.0ipsec policy 189#interface LoopBack0ip address 189.189.189.189 255.255.255.255#AR3配置:ipsec proposal 191#ike proposal 1#ike peer 188&189 v2pre-shared-key huaweiike-proposal 1#ipsec policy-template 191 1ike-peer 188&189proposal 191#ipsec policy ar 1 isakmp template 191#interface Ethernet3/0/0ip address 192.168.1.191 255.255.255.0ipsec policy ar#interface LoopBack0ip address 191.191.191.191 255.255.255.255#在AR3上可以看到IPSec的协商情况:<2220-191>disp ike sa v2Conn-ID Peer VPN Flag(s) Phase--------------------------------------------------------------- 61 192.168.1.189 0 RD 259 192.168.1.189 0 RD 162 192.168.1.188 0 RD 260 192.168.1.188 0 RD 1Flag Description:RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP<2220-191>disp ipsec sa===============================Interface: Ethernet3/0/0Path MTU: 1500===============================-----------------------------IPSec policy name: "ar"Sequence number : 1Mode : Template-----------------------------Connection ID : 61Encapsulation mode: TunnelTunnel local : 192.168.1.191Tunnel remote : 192.168.1.189Flow source : 188.188.188.188/255.255.255.255 0/0Flow destination : 189.189.189.189/255.255.255.255 0/0 [Outbound ESP SAs]SPI: 220466902 (0xd240ed6)Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5SA remaining key duration (bytes/sec): 1887436380/2601Max sent sequence-number: 5UDP encapsulation used for NAT traversal: N[Inbound ESP SAs]SPI: 2406932171 (0x8f76decb)Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5SA remaining key duration (bytes/sec): 1887436380/2601 Max received sequence-number: 5UDP encapsulation used for NAT traversal: N-----------------------------IPSec policy name: "ar"Sequence number : 1Mode : Template-----------------------------Connection ID : 62Encapsulation mode: TunnelTunnel local : 192.168.1.191Tunnel remote : 192.168.1.188Flow source : 189.189.189.189/255.255.255.255 0/0Flow destination : 188.188.188.188/255.255.255.255 0/0 [Outbound ESP SAs]SPI: 2561348553 (0x98ab13c9)Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5SA remaining key duration (bytes/sec): 1887436380/2601 Max sent sequence-number: 5UDP encapsulation used for NAT traversal: N[Inbound ESP SAs]SPI: 3170837581 (0xbcff244d)Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5SA remaining key duration (bytes/sec): 1887436380/2601 Max received sequence-number: 5UDP encapsulation used for NAT traversal: N<2220-191>。

1典型配置举例导读

1典型配置举例导读

1 典型配置举例导读H3C MSR系列路由器典型配置举例(V7)共包括63个文档,介绍了基于Comware V7软件版本的MSR系列路由器软件特性的典型配置举例,包含组网需求、配置步骤、验证配置和配置文件等内容。

1.1 适用款型本手册所描述的内容适用于MSR系列路由器中的如下款型:款型MSR 5600 MSR 56-60 MSR 56-80MSR 3600 MSR 36-10 MSR 36-20 MSR 36-40 MSR 36-60 MSR3600-28 MSR3600-51MSR 2600 MSR 26-301.2 内容简介典型配置举例中特性的支持情况与MSR系列路由器的款型有关,关于特性支持情况的详细介绍,请参见《H3C MSR 系列路由器配置指导(V7)》和《H3C MSR 系列路由器命令参考(V7)》。

手册包含的文档列表如下:编号名称1H3C MSR系列路由器作为TFTP client升级版本的典型配置举例(V7)2H3C MSR系列路由器作为FTP client升级版本的典型配置举例(V7)3H3C MSR系列路由器作为FTP server升级版本的典型配置举例(V7)4H3C MSR系列路由器采用Boot ROM TFTP方式升级方法的典型配置举例(V7)5H3C MSR系列路由器内网用户通过NAT地址访问地址重叠的外网典型配置举例(V7)6H3C MSR系列路由器内网用户通过NAT地址访问内网服务器典型配置举例(V7)7H3C MSR系列路由器内部服务器负载分担典型配置举例(V7)8H3C MSR系列路由器NAT DNS mapping典型配置举例(V7)9H3C MSR系列路由器定时执行任务典型配置举例(V7)10H3C MSR系列路由器RBAC典型配置举例(V7)11H3C MSR系列路由器以太网链路聚合典型配置举例(V7)12H3C MSR系列路由器端口隔离典型配置举例(V7)13H3C MSR系列路由器VLAN典型配置举例(V7)14H3C MSR系列路由器QinQ典型配置举例(V7)15H3C MSR系列路由器PPP典型配置案例(V7)16H3C MSR系列路由器建立LAC-Auto-Initiated模式L2TP隧道典型配置举例(V7) 17H3C MSR系列路由器建立Client-Initiated模式L2TP隧道的典型配置举例(V7) 18H3C MSR系列路由器L2TP多实例典型配置举例(V7)19H3C MSR系列路由器L2TP多域接入典型配置举例(V7)20H3C MSR系列路由器L2TP over IPsec典型配置举例(V7)21H3C MSR系列路由器AAA典型配置举例(V7)22H3C MSR系列路由器802.1X本地认证典型配置举例(V7)23H3C MSR系列路由器802.1X结合Radius服务器典型配置举例(V7)24H3C MSR系列路由器IPsec典型配置举例(V7)25H3C MSR系列路由器Portal典型配置举例(V7)26H3C MSR系列路由器SSH典型配置举例(V7)27H3C MSR系列路由器OSPF典型配置举例(V7)28H3C MSR系列路由器IS-IS典型配置举例(V7)29H3C MSR系列路由器OSPFv3典型配置举例(V7)30H3C MSR系列路由器IPv6 IS-IS典型配置举例(V7)31H3C MSR系列路由器BGP基础典型配置举例(V7)32H3C MSR系列路由器路由策略典型配置举例(V7)33H3C MSR系列路由器策略路由典型配置举例(V7)34H3C MSR系列路由器Tcl脚本典型配置举例(V7)35H3C MSR系列路由器GRE和OSPF结合使用典型配置举例(V7)36H3C MSR系列路由器IPv6 over IPv4 GRE隧道典型配置举例(V7)37H3C MSR系列路由器ISATAP和6to4相结合使用的典型配置举例(V7)38H3C MSR系列路由器IPv6手动隧道+OSPFv3功能的典型配置举例(V7)39H3C MSR系列路由器授权ARP功能典型配置举例(V7)40H3C MSR系列路由器ARP防攻击特性典型配置举例(V7)41H3C MSR系列路由器ACL典型配置举例(V7)42H3C MSR系列路由器流量监管典型配置举例(V7)43H3C MSR系列路由器流量整形典型配置举例(V7)44H3C MSR系列路由器基于控制平面应用QoS策略典型配置举例(V7)45H3C MSR系列路由器IGMP Snooping典型配置举例(V7)46H3C MSR系列路由器IGMP典型配置举例(V7)47H3C MSR系列路由器组播VPN配置举例(V7)48H3C MSR系列路由器MPLS基础典型配置举例(V7)49H3C MSR系列路由器MPLS L3VPN典型配置举例(V7)50H3C MSR系列路由器HoVPN典型配置举例(V7)51H3C MSR系列路由器MPLS TE典型配置举例(V7)52H3C MSR系列路由器MPLS OAM典型配置举例(V7)53H3C MSR系列路由器作为重定向服务器反向Telnet的典型配置举例(V7)54H3C MSR系列路由器BFD典型配置举例(V7)55H3C MSR系列路由器VRRP典型配置举例(V7)56H3C MSR系列路由器SNMP典型配置举例(V7)57H3C MSR系列路由器Sampler结合IPv4 NetStream使用典型配置举例(V7)58H3C MSR系列路由器NQA典型配置举例(V7)59H3C MSR系列路由器EAA监控策略典型配置举例(V7)60H3C MSR系列路由器NTP典型配置举例(V7)61H3C MSR系列路由器RMON统计功能典型配置举例(V7)62H3C MSR系列路由器终端为流接入方式且应用为流连接方式典型配置举例(V7) 63H3C MSR系列路由器终端为TCP接入且应用为TCP连接方式典型配置举例(V7)。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

H C M S R系列路由器I P s e c典型配置举例V集团文件版本号:(M928-T898-M248-WU2669-I2896-DQ586-M1988)1?简介本文档介绍IPsec的典型配置举例。

2?配置前提本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解IPsec特性。

3?使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例3.1?组网需求如所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求:通过L2TP隧道访问Corporate network。

用IPsec对L2TP隧道进行数据加密。

采用RSA证书认证方式建立IPsec隧道。

图1基于证书认证的L2TP over IPsec配置组网图3.2?配置思路由于使用证书认证方式建立IPsec隧道,所以需要在ike profile中配置local-identity为dn,指定从本端证书中的主题字段取得本端身份。

3.3?使用版本本举例是在R0106版本上进行配置和验证的。

3.4?配置步骤3.4.1?Device的配置(1)配置各接口IP地址#配置接口GigabitEthernet2/0/1的IP地址。

<Device> system-view[Device] interface gigabitethernet 2/0/1[Device-GigabitEthernet2/0/1] quit#配置接口GigabitEthernet2/0/2的IP地址。

[Device] interface gigabitethernet 2/0/2[Device-GigabitEthernet2/0/2] quit#配置接口GigabitEthernet2/0/3的IP地址。

[Device] interface gigabitethernet 2/0/3[Device-GigabitEthernet2/0/3] quit(2)配置L2TP#创建本地PPP用户l2tpuser,设置密码为hello。

[Device] local-user l2tpuser class network[Device-luser-network-l2tpuser] password simple hello [Device-luser-network-l2tpuser] service-type ppp[Device-luser-network-l2tpuser] quit#配置ISP域system对PPP用户采用本地验证。

[Device] domain system[Device-isp-system] authentication ppp local[Device-isp-system] quit#启用L2TP服务。

[Device] l2tp enable#创建接口Virtual-Template0,配置接口的IP地址为。

[Device] interface virtual-template 0#配置PPP认证方式为PAP。

[Device-Virtual-Template0] ppp authentication-mode pap #配置为PPP用户分配的IP地址为。

[Device-Virtual-Template0] quit#创建LNS模式的L2TP组1。

[Device] l2tp-group 1 mode lns#配置LNS侧本端名称为lns。

[Device-l2tp1] tunnel name lns#关闭L2TP隧道验证功能。

[Device-l2tp1] undo tunnel authentication#指定接收呼叫的虚拟模板接口为VT0。

[Device-l2tp1] allow l2tp virtual-template 0[Device-l2tp1] quit(3)配置PKI证书#配置PKI实体security。

[Device] pki entity security[Device-pki-entity-security] common-name device[Device-pki-entity-security] quit#新建PKI域。

[Device] pki domain headgate[Device-pki-domain-headgate] ca identifier LYQ[Device-pki-domain-headgate] certificate request from ra [Device-pki-domain-headgate] certificate request entity security[Device-pki-domain-headgate] undo crl check enable[Device-pki-domain-headgate]public-key rsa general name abc length 1024[Device-pki-domain-headgate] quit#生成RSA算法的本地密钥对。

[Device] public-key local create rsa name abcThe range of public key modulus is (512 ~ 2048).If the key modulus is greater than 512,it will take a few minutes.Press CTRL+C to abort.Input the modulus length [default = 1024]:Generating Keys... ..........................++++++.++++++Create the key pair successfully.#获取CA证书并下载至本地。

[Device] pki retrieve-certificate domain headgate caThe trusted CA's finger print is:MD5 fingerprint:8649 7A4B EAD5 42CF 5031 4C99 BFS3 2A99SHA1 fingerprint:61A9 6034 181E 6502 12FA 5A5F BA12 0EA0 5187 031CIs the finger print correct(Y/N):yRetrieved the certificates successfully.#手工申请本地证书。

[Device] pki request-certificate domain headgateStart to request general certificate ...Certificate requested successfully.(4)配置IPsec隧道#创建IKE安全提议。

[Device] ike proposal 1[Device-ike-proposal-1] authentication-method rsa-signature [Device-ike-proposal-1] encryption-algorithm 3des-cbc [Device-ike-proposal-1] dh group2[Device-ike-proposal-1] quit#配置IPsec安全提议。

[Device] ipsec transform-set tran1[Device-ipsec-transform-set-tran1] esp authentication-algorithm sha1[Device-ipsec-transform-set-tran1] esp encryption-algorithm 3des[Device-ipsec-transform-set-tran1] quit#配置IKE profile。

[Device] ike profile profile1[Device-ike-profile-profile1] local-identity dn[Device-ike-profile-profile1] certificate domain headgate [Device-ike-profile-profile1] proposal 1[Device-ike-profile-profile1] match remote certificate device[Device-ike-profile-profile1] quit#在采用数字签名认证时,指定总从本端证书中的主题字段取得本端身份。

[Device]ike signature-identity from-certificate#创建一条IPsec安全策略模板,名称为template1,序列号为1。

[Device]ipsec policy-template template1 1[Device-ipsec-policy-template-template1-1] transform-set tran1[Device-ipsec-policy-template-template1-1] ike-profile profile1[Device-ipsec-policy-template-template1-1] quit#引用IPsec安全策略模板创建一条IPsec安全策略,名称为policy1,顺序号为1。

[Device] ipsec policy policy1 1 isakmp template template1 #在接口上应用IPsec安全策略。

[Device] interface gigabitethernet 2/0/2[Device-GigabitEthernet2/0/2] ipsec apply policy policy1 [Device-GigabitEthernet2/0/2] quit3.4.2?Host的配置(1)从证书服务器上申请客户端证书#登录到证书服务器:,点击“申请一个证书”。

图1进入申请证书页面#点击“高级证书申请”。

图2高级证书申请#选择第一项:创建并向此CA提交一个申请。

相关文档
最新文档